نقص در پیام‌رسان Slack اجازه‌ی سرقت حساب‌های کاربری را به مهاجمان می‌دهد

۲یک محقق دو آسیب‌پذیری جدی در برنامه‌ی Slack پیدا کرد که برای بدست آوردن اطلاعات محرمانه و بدست گرفتن حساب‌های کاربری قابل بهره‌برداری است. این شرکت این آسیب‌پذیری‌ها را وصله کرد و مبلغ ۹ هزار دلار به این محقق جایزه داد.

به گفته‌ی محققی با نام دیوید ویرا-کورز۱، برنامه‌ی Slack با دو نقص دور زدن کنترل دسترسی تحت تأثیر قرار گرفته است که می‌تواند منجر به خطرات جدی شود. این حفره‌های امنیتی در ماه آوریل گزارش و وصله شد.
این محقق ابتدا یک مشکل پیکربندی اشتباه در استفاده از یک ماژول را پیدا کرد که این ماژول به ادمین سامانه این امکان را می‌دهد تا به اطلاعات وضعیتی از جمله اینکه چه آدرس IP به چه منبعی دسترسی دارد، دست یابد.

در حالی‌که این مشکل در وهله‌ی اول، خطر با درجه‌ی بالایی به نظر نمی‌رسد، ویرا-کورز، فوراً کشف کرد که حتی یک کاربر غیرمجاز می‌تواند از کارگزار اطلاعات وضعیتی را درخواست کند که به‌طور بالقوه به آن‌ها دسترسی به اطلاعات حساس مرتبط با هر وب‌گاه Slack را می‌دهد. Slack به این محقق برای گزارش این اشکال ۲ هزار دلار جایزه داد.
دومین آسیب‌پذیری که توسط ویرا-کورز کشف شد بسیار جدی بود. مسئله مربوط به یک پنل مدیریتی پشتی بود که به کارکنان Slack این اجازه را می‌داد تا براساس یک شناسه به اطلاعات کاربران و محیط کاری دسترسی یابند.

این محقق تشخیص داد که یک مهاجم با حدس شناسه‌ی کاربران می‌تواند گذرواژه‌ی آن‌ها را بازنشانی کند. این نفوذگر کلاه سفید برای این گزارش ۷ هزار دلار دریافت کرد که این آسیب‌پذیری هنوز در صفحه‌ی HackerOne این شرکت به‌طور عمومی منتشر نشده است.
در این برنامه‌ی پاداش در ازای اشکال، Slack به محققان برای نقص‌های امنیتی با درجه‌ی پایین ۵۰ دلار و مسائل جدی‌تر حداقل ۱۵۰۰ دلار پیشنهاد می‌دهد. از زمان اجرای این برنامه‌ی پاداش در ازای اشکال، این شرکت بیش از ۵۰۰ گزارش دریافت کرده و مبلغ ۱۸۰ هزار دلار جایزه پرداخت کرده است.

Slack یک ابزار همکاری گروهی بسیار مفید است که به کاربران اجازه‌ی ایجاد بات از جمله بات مدیریت پروژه و انواع بات‌های یادآوری را می‌دهد که به آن‌ها در انجام خوکار برخی وظیفه‌ها کمک می‌کند. با این حال بسیاری از متخصصان در ماه آوریل هشدار دادند که برخی توسعه‌دهندگان ناخواسته توکن‌های احراز هویت حساب‌های Slack را در گیت‌هاب به اشتراک گذاشته‌اند.
یک جستجو در گیت‌هاب نشان داد که صدها توکن وجود دارد که به‌طور بالقوه دسترسی به اطلاعات حساس از جمله پایگاه داده‌ی گواهی‌نامه‌ها، اطلاعات ورود به سرویس‌های داخلی و پیام‌های خصوصی را امکان‌پذیر می‌سازد.

۱. David Vieira-Kurz

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter